Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: stapper op 10 september 2017, 22:23:59
-
Hallo,
Bezig met nieuwe nas, nu zie ik onder het kopje beveiliging dat je daar de firewall kunt aanzetten?
Ik ben niet zo thuis in dit soort dingen, een maatje van me heeft de poorten dei ik nodig had in de router geforward.
Maar dien ik dat in de nas nu zelf ook weer aan te zetten, en wat zijn de voor/nadelen?
bvd
-
Als je de firewall in de NAS inderdaad aanzet, dan moeten de benodigde poorten daarin ook worden open gezet, net als in de router.
Persoonlijk heb ik de firewall in de NAS niet aanstaan en vertrouw ik op de firewall in de router.
Volgens mij zijn de meningen hierover verdeeld dus ik ben benieuwd naar andere reacties :)
-
Bij complexe software mag je ervan uitgaan dat er bugs in zitten, ook al zijn die nog niet bekend. In theorie zou instellen op de router voldoende zijn als die 100% veilig is. Hij is echter maar 99,9% veilig.
Dus altijd een 2e laag aanbrengen. Dat helpt ook tegen malware op je PC die vanaf je PC de nas aanvalt.
-
Het slimste is geen poorten open te zetten. :!:
Als je perse van buiten naar je netwerk moet kun je beter een VPN gebruiken, dat is veel veiliger dan poorten openzetten en de rest te firewallen.
Een firewall is pas nuttig als hij packet inspection doet op de poorten die je wilt doorlaten en er zo voor zorgt dat alleen legitieme software doorgelaten wordt.
Gewoon poorten blokkeren doet je router prima en een tweede blokkade kan geen kwaad maar voegt relatief weinig toe.
De meeste kans dat er iemand bij je inbreekt, is via die opengezette poorten en dan helpen 10 firewalls zelfs niet.
-
Heb geen enkele poort forwarded, gebruik OpenVPN op m'n Router, dus bij de "voordeur" en kan vervolgens alles wat ik wil, alsof ik thuis zit.
-
Als je een mailserver oid gebruikt, zul je toch echt moeten forwarden.
Ook als je je foto's met anderen wilt delen via Photostation of een andere website runt, kun je bezoekers niet vragen om dit via VPN te bekijken.
-
Klopt, ik had het ook over "en kan vervolgens alles wat ik wil, alsof ik thuis zit.
TS heeft het alleen maar over "een maatje van me heeft de poorten dei ik nodig had in de router geforward."
Dus, om welke poorten gaat het dan, die TS wel moet forwarden, dat weet nog niemand. ;D
-
uhm even uit de kop.... ik geloof poort 80 5000 en 5001?
wat nodig was voor photostation...
-
Open de poorten in de nas in elk geval niet onbeperkt, maar alleen voor bepaalde IP ranges. Het gemakkelijkst is alleen een regio, zoals Nederland, toelaten. Dat scheelt al een hoop risico.
-
Kijk het punt is dat ik voor werk veel in de tropen zit.
leuke wereld, maar in de nacht is het daar niet te doen... tv radio het is allemaal staatsbagger in Vietnam waar je als buitenlander knettergek van word...
Dus dan heb ik die nas juist het meeste nodig muziekje van het thuisfront en zo.
Het is voor mij dus 1 van de redenen dat ik een nas kocht.
en wat en zegen dan zo'n ding.... :P
Is het veiliger als de hele boel achter een vpn dienst zit?
En moet ik die functie van de firewall in de nas nou wel gebruiken of niet? De meningen zijn wat verdeeld geloof ik...
bvd
-
Geen VPN dienst dat is wat anders.
Je kunt in je Nas de VPN server aanzetten en dan kun je met een VPN client op je device een beveiligde en versleutelde connectie opzetten naar je Nas.
Je hoeft dan nog maar een poort open te zetten en die reageert alleen op een VPN request dus een stuk veiliger dan poorten die op html verkeer reageren.
Firewall aanzetten kan geen enkel kwaad dus alleen om die reden gewoon doen, of het veel nut heeft is een kwestie van meningen.
-
hallo folks,
Ik heb gelukkig de migratie naar de ds216+ wat achter de rug...bevalt geweldig dat ding... :P
Loop hier en daar nog wel tegen wat dingen aan, maar dat komt wel goed, en anders trek ik hier wel weer aan de bel, goed forum dit, en prima hulp.
Ik begrijp dus dat ik met de poorten die ik nu zo geforward heb, en de gebruikelijke veiligheidsmaatregelen dat ik niet eens zo slecht zit, maar dat het altijd beter kan...
Ik ga even met een vriend van me overleggen, die is in dit soort zaken wat beter thuis dan ik, ben wel handig met pc's maar dit is mijn ding niet zo...
Ik kom daar later nog even op terug als dat goed is.
Ik was sowieso van plan om nog een vpn dienst te nemen voor ik vertrek...
Vietnam heeft er wel eens een handje van om daar het 1 en ander te blokkeren als ze weer eens een slecht humeur hebben :)
Mooi land, maar die tv en radio is allemaal overheids rommel.... ze hebben niet voor niks veel schotels daar :)
alvast bedankt voor de goede tips,,, ik kom er later na overleg even op terug.
-
Nogmaals, je moet geen VPN dienst nemen. Je moet zelf een VPN 'verbinding' of 'toegang' opzetten.
Kost niks.
-
dat weet ik... maar mag ook nogal graag veel downloaden ;)
-
Ik zit er even over na te denken maar dat met die ip ranges (regio) lijkt me een heel goede oplossing tegen 80 % van het kwaad in de wereld
Ik doe zoiets ook altijd met office, outlook, dan ken ik een paar regels toe 1 alleen Romeins alfabet, 2 alleen uit de aangegeven landen.... Zooi in het Arabisch of zo of uit een land waar ik niet kom en niemand ken word dan ongelezen de deur uitgegooid en zie ik zelf niet eens
Begrijp ik het nu goed dat in die router is aan te geven welke landen bij die poorten kunnen, en kan de rest daar dan niet bij?
Ik meen eens gelezen dat Marktplaats zoiets met Afrika doet, vanwege de "nodige overlast"
Als dat kan dan lijkt me dat sowieso een pre om in te bouwen... :P
-
Door de firewall van mijn NAS (Control Panel/Security/Firewall) wordt alles geweigerd dat NIET afkomstig is uit Nederland of GEEN intern ip adres heeft.
Als je router diezelfde mogelijkheid biedt....
-
Dus even voor de duidelijkheid, je stelt het in bij de router in mijn geval ziggo daar waar die poorten ook geforward werden...
Daarna zet je het ook aan in de nas en dan neemt hij die instellingen over ( mits die router van ziggo dat ondersteund?
bvd
-
Een ziggo router heeft bij mijn weten geen firewall.
Maar als hij die heeft dan neemt de Nas natuurlijk niets over van een router.
Je krijgt dan twee firewalls achter elkaar.
Er zijn routers die zelf wel een firewall hebben, wat uiteraard beter zou zijn dan dat je Nas dat doet.
Een firewall is het effectiefs als hij zo dicht mogelijk bij de buitenwereld zit.
-
De ziggo router heeft wel een firewall. Die is erg basic en je kan er zelf vrijwel niets aan instellen. Wel niveaus van bescherming maar binnen de niveaus (low, medium, high) heb je geen invloed op wat je en hoe je het ingesteld wil hebben.
Inderdaad, de firewall is het meest effectief als hij zo dicht mogelijk bij de buitenwereld zit. De firewall instellingen van de NAS hebben uiteraard alleen invloed op de NAS zelf, niet op de rest van je netwerk. Daarom schrijf ik expliciet: "Door de firewall van mijn NAS".
Liever zou ik over een router met een goede firewall beschikken. Maar ja, geld speelt hierbij een rol.
-
De ziggo routers hebben wel een uitgebreidere firewall. Altans mijn Ubee, maar de Cisco heeft hetzelfde.
De low-mid-high heb je niets aan omdat die een vaste reeks poorten blokkeren. Als je poort 5000 gebruikt, blijft alleen de low instelling over want de rest blokkeert te veel.
Naast de low-mid-high kun je echter ook per poort of per range poorten dicht zetten. (Dat gebruik ik)
En er is een pagina waar je protocollen dicht zet. (NAT ALG options) Als je b.v. ftp dicht zet, zou hij dit verkeer moeten blokkeren, ongeacht de gebruikte poort.
Belangrijk is dat je als nas gebruiker niet de mid en high optie gebruikt. Of heel goed in het weergegeven lijstje kijken welke poorten er dan open blijven zitten en alles via die poorten sturen.
-
@Briolet Ik beschik over een Ubee, beschikbaar gesteld door Ziggo.
Ik gebruik de low modus, exact om de reden die je noemt.
Wellicht kijk ik eroverheen maar een mogelijkheid om specifieker te werk te gaan zie ik niet. De NAT-ALG pagina ontbreekt bij mij. Misschien een firmware dingetje? Of gewoon een functionaliteit die mijn modemrouter niet biedt.
-
Die andere firewall instellingen staan onder gateway. De NAT-ALG staan onder options. Default staan daar alle protocollen aan.
Ik heb echter nog nooit getest of deze opties reageren of de firewall off/low instelling.
-
Dank je. Ik zal er zo eens een blik op werpen. En kijken of er een verband is.
-
Ah, stom, natuurlijk kende ik deze. Je zet UPnP hier aan of uit (hopelijk uit).
-
Ik had het alleen verkeerd onthouden ALG (https://en.wikipedia.org/wiki/Application-level_gateway) blokkeert de protocollen niet maar ondersteunt de protocollen met extra, automatische forwards.
-
Ja, duidelijk.
-
ik heb er eens rondgesnuffeld in dat ziggo ding, vond ook wel het een en ander, maar laat het toch maar even aan die maat van me over voor de zekerheid :P
Ik kom er tzt even op terug , thanks alvast...
-
Ik ben geen fan van de firewall van de Ziggo router, maar mocht je toch low,mid high instellingen willen gebruiken dan kan dat altijd nog.
Dan wordt het een kwestie van de gebruikte poorten aanpassen in je NAS. Die staan nl niet in beton gegoten.
Mijn NAS is zo niet te benaderen via 5000 of 5001...ik heb daar andere poortnummers in gebruik.
ALs je je NAS poortnummers geeft die vallen onder de instelling 'High' van je Ziggo router, ben je weer een stuk verder/veiliger.
(bovendien maak je het hackers weer een stuk lastiger...die zullen eerst op zoek gaan naar de defaults (5000/5001)...als die geen ractie geven kan dit een drempel voor hen zijn om verder te graven. Om die reden is mijn NAS van buitenaf ook niet benaderbaar met FTP op 21 ;-))
Peter
-
Ik heb een paar dagen al mijn internetverkeer gelogd (makkelijk dat dat kan door de logs van mijn (Ziggo) Ubee router te sturen naar de NAS, je moet uiteraard wel je Log Center in gebruik hebben).
Instelling van de firewall van de Ubee router gewoon op low. Vrijwel geen standaard poorten in gebruik.
Toch nog aardig wat er zo voorbij komt en wat er tegengehouden wordt door de firewall van de router.
-
Het spijt me bijzonder maar noch die routers noch dat firewall ding van Synology zijn het woord firewall waardig.
Poorten blokkeren en eventueel wat source ip's blokkeren kun je toch nauwelijks een firewall noemen.
Je noemt NAT (wat elke router doet) toch ook geen firewall en die blokkeert bij verre het meeste.
-
Alles van een paar dagen, dat is dan een flink bestand. Ik heb dat log nooit langer dan een paar minuten gelogd. ;)
Zo'n log is doorgaans wel leerzaam. Je kunt er ook configuratie fouten in terug vinden. Mij viel ooit eens in het dns log op dat de site stmp.ziggo.nl wel heel vaak opgevraagd werd. Na nog een keer kijken ontdekte ik de spelfout. Op één van mijn apparaten had ik de mail verkeerd ingesteld en die pc was blijkbaar al maanden bezig om toch eens contact te krijgen.
Het opvallende hier aan was dat ik die smtp server duidelijk nooit gebruikte, maar hij in de achtergrond toch steeds bezig was om een verbinding open te houden. Ook als je niets verzond.
-
@Briolet
Alles van een paar dagen, dat is dan een flink bestand. Ik heb dat log nooit langer dan een paar minuten gelogd.
Het was ook heel veel, dat klopt inderdaad.
Was aardig om eens door te nemen, het log. Nu toch eens de mogelijkheid om te zien wat er allemaal gebeurt. Zoals je zegt, zaken die je anders niet ontdekt had.
@Ben(V)
Het spijt me bijzonder maar noch die routers noch dat firewall ding van Synology zijn het woord firewall waardig.
Wat zet jij dan in zodat het de naam firewall wel waardig is? (oprecht belangstellende vraag).
-
Geen, want mijn Lan is niet van buiten te benaderen.
Heb ik geen behoefte aan.
-
+1 ;)
-
Lan is niet van buiten te benaderen.
Is natuurlijk ook een benadering.
-
Bij mij wel, OpenVPN op m'n Router. ;)
(mijn +1 reactie had ik moeten toelichten met, geen poorten zijn geforward). ;D
-
Feit blijft dat een niet extern te benaderen LAN ook een benadering is. 8)
Mooie oplossing zoals jij hem beschrijft.
-
Om heel eerlijk te zijn zet ik af en toen de VPN van m'n router aan als ik weet dat ik iets vanaf m'n werk of iets wil benaderen, maar die staat normaal gesproken ook uit.